В начале февраля 2017 года были внесены изменения в КоАП РФ, которые устанавливали новые меры ответственности за нарушения порядка обработки и защиты персональных данных.
Вкратце: штрафы за нарушения порядка обработки персональных данных с 1 июля 2017 года стали крупнее; состав нарушений, за которые назначается ответственность — более конкретен. Изменения вносились в основном в статью 13.11, а также в статьи 28.3 и 28.4 КоАП РФ.
(UPDATE! По ссылкам далее можно посмотреть статистику судебных решений по ст.13.11 КоАП в новой редакции за конец 2017 и начало 2018 годов).
Итак, что же изменилось в области штрафов за нарушения в сфере законодательства о персональных данных с 1 июля 2017 года?
Редакция от февраля 2017 содержит семь конкретных составов правонарушений и предусматривает соответствующие им штрафы с самым высоким из них — 75 тысяч рублей (для юридических лиц). В отличие от действовавшей до 1 июля 2017 года редакции ст. 13.11, редакция 2017 года четко устанавливает случаи, за которые Оператор персональных данных может понести наказание. Например, раньше по ст. 13.11 КоАП можно было наказать за нарушение требований Федерального закона №242-ФЗ, с редакцией 2017 года сделать это стало невозможно, так же как и сложно будет наказать за отсутствие уведомления Роскомнадзора.
Редакция от февраля 2017 содержит семь конкретных составов правонарушений и предусматривает соответствующие им штрафы с самым высоким из них — 75 тысяч рублей (для юридических лиц). В отличие от действовавшей до 1 июля 2017 года редакции ст. 13.11, редакция 2017 года четко устанавливает случаи, за которые Оператор персональных данных может понести наказание. Например, раньше по ст. 13.11 КоАП можно было наказать за нарушение требований Федерального закона №242-ФЗ, с редакцией 2017 года сделать это стало невозможно, так же как и сложно будет наказать за отсутствие уведомления Роскомнадзора.
Тексты ст. 13.11 КоАП коротко представлены на рисунке ниже. Более развернутое описание — можно скачать в виде таблицы. А детальный разбор положений статьи 13.11 приведен ниже в настоящей статье.
Напомню, что изменения в ст. 13.11 готовились с декабря 2014 года, но работа над ними была надолго заморожена законодателями. Самым существенным моментом ранней версии этого законопроекта по штрафам был относительно большой (до 300 000 рублей) штраф за неправомерную обработку персональных данных специальных категорий, но в принятой в феврале 2017 года версии этот текст был убран:
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законодательством Российской Федерации о персональных данных,— влечет наложение административного штрафа на граждан от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати пяти тысяч рублей; на индивидуальных предпринимателей — от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от ста пятидесяти тысяч до трехсот тысяч рублей.
Какие основные последствия принятия поправок? Их несколько:
- В связи с тем, что формулировка ст. 13.11 КоАП стала более конкретна, многие эксперты выражают обеспокоенность, что схема назначения взыскания может измениться принципиально. Если по текущей редакции наказание могло быть одно за «нарушение установленного законом порядка…», по совокупности, сколько бы нарушений найдено не было, то новая формулировка ст. 13.11 КоАП поменялась и она просто перечисляет семь составов правонарушений, за которые возможно составление отдельного протокола и назначение отдельного штрафа.
- Протоколы об административных правонарушениях, квалифицируемых по новой редакции ст. 13.11 КоАП, с 1 июля 2017 года смогут составлять должностные лица Роскомнадзора и его территориальных управлений, а не только прокуроры, как ранее. Срок привлечения к ответственности по ст.13.11 КоАП остался как и ранее – 3 месяца, но процедура привлечения к ответственности существенно упростилась: цепочка «территориальное управление Роскомнадзора» — «Прокуратура» — «Суд» сократилась, а как следствие и материалы будут двигаться быстрее.
- Не за все ранее квалифицируемые по ст. 13.11 КоАП нарушения могут быть привлечены операторы в соответствии с новой редакцией: данная статья не предусматривает, например, ответственности за невыполнение требований о локализации баз персональных данных, как предписывает №242-ФЗ.
Имеет смысл рассмотреть подробнее за какие правонарушения назначается та или иная ответственность в новой редакции ст. 13.11 КоАП:
ч.1 ст.13.11 КоАП РФ:
«Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния»
Предусмотренные санкции за нарушение — предупреждение или административный штраф до 50 тыс. рублей для юридических лиц могут наступить в результате двух разных нарушений:
- обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области ПДн.
Это правонарушение наступает при несоблюдении требований ст.6 Федерального закона №152-ФЗ «О персональных данных», а именно, когда обработка персональных данных Оператором осуществляется вне рамок 11 перечисленных в ч.1 ст. 6 №152-ФЗ условий.
- обработка персональных данных, несовместимая с целями сбора персональных данных.
Это правонарушение наступает при несоблюдении требования ч.4 ст.5 Федерального закона №152-ФЗ «О персональных данных».
ч.2 ст.13.11 КоАП РФ:
«Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленныхзаконодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных»
Возможные санкции за нарушение — административный штраф до 75 тыс. рублей для юридических лиц может наступить опять же в результате одного из двух нарушений:
- обработка персональных данных без согласия в письменной форме в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации.
- обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в согласие в письменной форме.
Наказание за нарушение по ч.2 ст.13.11 КоАП РФ может наступить только тогда, когда необходимо получение не просто согласия субъекта ПДн, а необходимо согласие именно в письменной форме. И таких случаев согласно законодательству у всего несколько, при этом наиболее часто встречающиеся из них следующие:
ч.1 ст.8 №152-ФЗ: Создания общедоступных источников персональных данных (в том числе это телефонные справочники, адресные книги и т.д., и т.п.) в целях информационного обеспечения;
п.1 ч.2 ст.10 152-ФЗ: Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
п.5 ч.2 ст.10 152-ФЗ: Распространение персональных данных членов (участников) общественного объединения или религиозной организации соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами;
ч.1 ст.11 152-ФЗ: Обработка биометрических персональных данных (т.е. сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), когда такая обработка осуществляется оператором для установления личности субъекта персональных данных, кроме случаев, предусмотренных ч.2 ст.11 152-ФЗ (т.е в связи с реализацией международных договоров о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в случаях, предусмотренных
законодательствомРФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе и т.д.);
ч.4 ст.12 152-ФЗ: Осуществление трансграничной передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных;
ч.2 ст.16 152-ФЗ: Принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, которые принимаются на основании исключительно автоматизированной обработки его персональных данных;
ст.88 ТК РФ: Передача персональных данных работника работодателем третьей стороне, за исключением случаев, когда передача необходима в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым Кодексом или иными федеральными
законами;
Необходимо отметить, что вторая часть состава правонарушения связана с установленными требованиями к составу сведений, включаемых в письменное согласие. Минимальный перечень этих сведений установлен ч.4 ст. 9 Федерального закона №152-ФЗ «О персональных данных». Нарушениями считаются не полностью заполненные сведения, например, об операторе или лице, которому оператор поручает обработку персональных данных.
Следует так же учесть, что наличие письменного согласия субъекта необходимо только в определенных случаях, в иных случаях возможно получение оператором согласия субъекта в любой форме (см. п.1 ст.9 №152-ФЗ: «Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом»).
ч.3 ст.13.11 КоАП РФ:
«Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных»
Возможные санкции за нарушение — предупреждение или административный штраф до 30 тыс. рублей для юридических лиц. Указанные санкции могут наступить в следствии нарушения обязанностей Оператора персональных данных при сборе и обработке персональных данных, а именно ч.2 ст.18.1 152-ФЗ: «Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.»
Обязанность по изданию соответствующих документов наступает у Оператора в силу требований ч.1 ст.18.1 №152-ФЗ.
Необходимо отметить, что в настоящий момент неопубликование соответствующих документов самое часто выявляемое нарушение требования законодательства о персональных данных. Таковым его делает хорошо освоенная Роскомнадзором практика систематического наблюдения за сайтами в сети Интернет. В ходе такого наблюдения сотрудники Роскомнадзора осуществляют просмотр сайтов и в случае не выявления на сайте, осуществляющем сбор персональных данных, документа, определяющего политику в отношении обработки персональных данных, направляют оператору соответствующее требование:
Способ, которым оператор обеспечивает неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, определяется Оператором самостоятельно кроме двух случаев, когда способ опубликования определен законодательно:
Первый случай относится к тем операторам персональных данных, которые осуществляют сбор персональных данных посредством информационно-телекоммуникационных сетей. В этом случае, оператор обязан опубликовать политику в этой же сети (И надо понимать, что это не всегда сайт организации в сети Интернет!). Сюда массово попадают всевозможные сайты интернет-магазинов, форумы, соцсети и прочее.
Второй случай, когда Оператор является государственным или муниципальным органом, требование опубликования политики в отношении обработки персональных данных определяет Постановление Правительства РФ № 211 от 21.03.2012г. «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом „О персональных данных“ и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»:
Именно за невыполнение требований ч.3 ст.13.11 КоАП РФ массово привлекаются прокурорскими работниками директора школ и детсадов по всей России.«Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения»
ч.4 ст.13.11 КоАП РФ:
«Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных«
Санкции за нарушение — предупреждение или административный штраф до 40 тыс. рублей для юридических лиц. Указанные санкции могут наступить в следствии нарушения обязанностей Оператора ответить на обращение субъекта или его представителя в течение тридцати дней с даты получения такого запроса субъекта, как того требует ст.20 152-ФЗ.
Право субъекта обратиться к оператору персональных данных с целью получения информации, касающейся обработки его персональных данных, возникает у него в силу положения ст. 14 №152-ФЗ «О персональных данных». Сведения, которые оператор обязан предоставить субъекту, определены ч.7 ст.14 №152-ФЗ.
ч.5 ст.13.11 КоАП РФ:
«Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки»
Возможные санкции за нарушение — предупреждение или административный штраф до 45 тыс. рублей для юридических лиц. Указанные санкции могут наступить в следствии нарушения требования ст.21 №152-ФЗ. При этом положения статьи 21 определяют различные сроки для исполнения требований об уточнении, блокировании или уничтожении персональных данных.
ч.6 ;ст.13.11 КоАП РФ :
«Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния»
Санкция за нарушение — административный штраф до 50 тыс. рублей для юридических лиц. Указанные санкции могут наступить в следствии нарушения требования п.15 Постановления Правительства № 687 от 15.09.2008г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», которое определяет обязанность оператора обеспечить сохранность материальных носителей персональных данных и исключающих несанкционированный к ним доступ при не автоматизированной обработке.
ч.7 ст.13.11 КоАП РФ:
«Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных»
Возможные санкции за нарушение — предупреждение или административный штраф до 6 тыс. рублей для должностных лиц.
UPDATE: Обзор судебной практики по применению ст.13.11 КоАП смотрите по ссылке https://szazimko.blogspot.com/2018/05/blog-post.html
UPDATE: Обзор судебной практики по применению ст.13.11 КоАП смотрите по ссылке https://szazimko.blogspot.com/2018/05/blog-post.html
0 коммент.:
Отправить комментарий